1.資通安全組織:
本公司設立資通安全委員會組織架構,由事業單位最高主管擔任主委,次高主管擔任副主委,資安最高主管擔任資安常委,總幹事由資安主管擔任,執行幹事由各部門主管擔任,定期召開管理審查會議,制訂與檢討資通安全管理目標及政策。為落實資通安全管理政策有效推動,資安組織下設立流程維運組、稽核組、教育訓練組、緊急應變組,由各職能部門的資深管理人員擔任,以推動資通安全管理審查會議決議之資通安全作業,促使資通安全管理系統能深入持續穩健運作。
2.資通安全政策:
本公司資通安全政策為「維護公司之資訊機密性、完整性、可用性與適法性,避免當發生人為疏失、蓄意破壞或自然災害時,遭致資產不當使用、洩漏、竄改、毀損、遺失等情形,影響公司作業或損及公司權益」。
歷年來遵循資安政策要求、定期執行資通安全宣導、員工資通安全教育訓練等,為更適切符合國際資通安全管理趨勢及回應客戶資通安全要求,於2019年3月通過ISO/IEC 27001:2013國際資訊安全管理標準之驗證稽核,並於2022年3月完成換證審查取得證書有效期至2025年3月15日。本公司致力於保護客戶資料及公司智慧財產,透過導入ISO/IEC 27001:2013資訊安全管理系統,落實資通安全政策並強化資通安全事件應變能力。
3.資安風險控制:
網路攻擊手法日新月異,資訊系統無法完全避免來自任何第三方的癱瘓式網路攻擊,網路攻擊可能透過電子郵件、網路釣魚、暴力破解等手法,將惡意程式植入公司內部網路進行破壞或資料竊取。破壞式的攻擊可能導致本公司生產營運中斷,資料竊取式攻擊可能造成重要的營運資料或員工、客戶等個人資料洩漏。公司積極的規劃部署資通安全措施,不斷改善資通安全環境,降低資通安全風險。管理上從政策制度、組織職責、人力安全、文件管控、資產管理、通訊與作業管理、存取控制、實體環境、系統開發與維護、營運持續管理、安全事件管理、法規遵循性等方面制訂相關管理規範;技術上部署網路防火牆、入侵檢測系統、郵件安全系統、作業系統自動偵測及更新、病毒防護系統、網路准入系統、安全監控系統及弱點掃描系統等。每半年有內部及外部專業稽核人員、組織對公司資通安全管理系統進行稽核,每年對資安運作狀況,風險控制及事件改善進行評審,並呈報至資安委員會,以控制及降低資安風險。
4.員工資安訓練:
公司在新人入職時進行基本的資通安全教育訓練。對在職人員通過定期的資安教育訓練、海報、影片宣導強化員工的資安意識。對內部資訊稽核發現的問題,透過矯正預防流程即時進行資通安全管控,減少員工洩漏公司及客戶機密資訊;當資通安全事件發生時,立即進行資安通報,強化公司資通安全成熟度,提高員工防範外部惡意攻擊的意識等,為公司生產經營活動提供資通安全保障。
5.本公司2023年未發生任何衝擊公司營運的重大網路攻擊事件。